全国政协委员周鸿祎：建议加强对开源软件的代码审查

开源项目近日来被业界屡屡关注，其中最知名的事件应属2021年12月10日Apache基金会开源项目的Log4j2组件被发现存在远程代码执行漏洞，该漏洞被业内称为“核弹级”漏洞。

周鸿祎表示，在Log4j2漏洞爆出之前，开源软件便已存在大量漏洞，只不过此漏洞的爆发引起了外界的普遍关注。周鸿祎对开源软件依然持积极看法，并十分提倡开源精神，认为这是新时代的“集中力量办大事”，没有开源软件也就没有中国互联 的今天。

然而，从安全的角度，开源软件很容易成为他国对我进行 络渗透攻击的渠道。对此，周鸿祎建议加强对开源软件的代码审查，国内软件业应该积极参与国际开源 区互动，不断提高话语权，建立影响力。鼓励第三方市场力量参与国内开源生态建设，尽快掌控开源软件资源应用的主动权。

“第一，我们要热烈拥抱开源，要充分理解开源模式本身的先进性，对开源的利用不能太‘鸡贼’，比如说把国外的开源偷过来就把它闭源了，这样软件就失去了它的进化可能性，而且开源可以有效打破国际上对中国所谓的技术封锁，不光软件开源，我们国家最头疼的芯片问题就是芯片的开源设计。”

“第二，短期内全部用国内自己的开源是不可能的，大量的开源项目还在国际上，能够把国际上很多聪明才智为我所用，就跟中国引入很多国外的专家学者一样，国家要鼓励很多公司、很多软件技术人员积极参与国际的开源 区，不能只索取不奉献。一个开源 区能不能主导不是看公司大小规模，而是看在里面做的贡献多不多，如果中国人只是把代码拿过来用，但是不贡献代码，在开源 区实际上是没有发言权的，我们在里面有发言权之后就可以主导一些（开源项目的方向和发展），因为我们的人口多，我们的工程师多，我们能主导一些开源项目的方向和发展。”

“第三，预备着美国可能在有些开源项目上对我们进行像‘贸易战’一样的封锁，同时我认为各大部委、各大数字化领先的公司，应该多积极地开展这种国内主导的开源项目的分支或者开源 区的建设。现在像阿里、腾讯、百度、头条，包括360这些互联 公司在国内都开始了开源的项目。但是现在的开源在国内还不像美国那么彻底，更多像是一种公关效应，我觉得国家应该大力在政策上支持这些公司开源，把这些东西分享出来。”